主要攻击方式
1、ARP 仿冒攻击:攻击者伪造网关向网络中发送伪造的 ARP Reply 报文,且报文中的 Terget MAC address 字段中的 MAC 地址为攻击者自身的 MAC 地址。使得网络中的其他主机访问网关时数据会先经过攻击者然后又攻击者将数据转发到网关,造成网络中其他初级访问网关是数据都会经过攻击者,此时用户未加密的数据存在泄露的风险。
2、ARP 欺骗攻击:攻击者伪造网关在网络中发送伪造的 ARP Reply 报文,但报文中的 Terget MAC address 字段中的 MAC 地址未不存在的地址,此时主机访问网关是数据链路层的目的MAC地址会封装该 MAC 地址,导致交换机收到该数据帧时由于 mac 地址表无法找到对应的表项会直接将该帧丢弃,导致网络中的用户无法访问互联网。
3、ARP 泛洪攻击:攻击者在网络中发送大量的 ARP Replay 报文,导致网络中的设备的 ARP 缓存表项被迅速占满,造成合法的 ARP 表项由于缓存占满而被删除。
4、ARP Miss攻击:攻击者先设备发送大量目的 IP 地址不存在的 IP 报文(路由表中存在该 IP 报文 的目的 IP 对应的路由表项,但设备上没有该路由表项中下一跳对应的 ARP 表项),导致设备触发大量的 ARP Miss 消息。这种触发 ARP Miss 消息的 IP 报文会被上送到 CPU 就行处理,设备会根据 ARP Miss 消息生产和下发大量临时 ARP 表项并向目的的网络发送大量 ARP 情况报文,这样就增加了设备 CPU 的负担,同时验证消耗目的网络的带宽资源。
动态 ARP 检测
在用户 PC 动态获取 IP 地址的过程中,通过接入层交换机的 DHCP Snooping 功能将用户 DHCP 获取到的,正确的 IP 与 MAC 信息记录到交换机的 DHCP Snooping 绑定表;然后使用 DAI 功能校验进入交换机的所有 ARP 报文,将 ARP 报文里面的 Sender IP 及 Sender MAC 字段与 DHCP Snooping 表里面的 IP+MAC 记录信息进行比较,如果一致则方通,否则丢弃。这样如果合法用户获取 IP 地址后视图进行 ARP 欺骗,或者是非法用户私自配置静态的 IP 地址,他们的 ARP 校验都将失败,这样的用户将无法使用网络。
该功能基于 DHCP Snooping 的绑定表实现。所有使能动态 ARP 检测首先需要开启 DHCP Snoop ing 功能。
配置命令
1、arp anti-attack check user-bind enable //接口或者 VLAN 下开启动态 ARP 检测
2、arp speed-limit source-mac maximux //配置任意源 MAC 地址或者特点源 MAC 进行 ARP 限速的限速值
3、arp speed-limit source-ip maximun //配置任意源 IP 地址或者特定源 IP 地址进行 ARP 限速的限速值
4、arp anti-attack gateway-duplicate enable //开启 ARP 防网关冲突
5、arp gratuitous-arp send enable //开启主动发送免费 ARP 功能
6、arp gratuitous-arp send interval //配置主动发送免费 ARP 的时间间隔
7、arp-miss speed-limit source-ip maxium //配置任意源 IP 地址或者特点源 IP 地址进行 ARP Miss 限速的限速值
8、display arp packet statistics //查看 ARP 处理报文统计数据
9、display arp anti-attack statistics check user-bind interface //查看接口下 DAI 的 ARP 报文丢弃的数量
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
